FastAPI中JWT认证应使用HTTPBearer获取Token并用jwt.decode()校验,密钥须从环境变量读取且确保两端一致;签发时需设exp、sub等字段,用datetime.utcnow()+timedelta;依赖注入get_current_user实现自动校验。FastAPI里怎么给接口加JWT Token认证直接用 HTTPBearer + JWT.decode() 就能拦住没Token或过期的请求,但别手写验证逻辑------容易漏掉 aud、iss 校验,也容易把密钥硬编码进代码里。用 fastapi.security.HTTPBearer 获取请求头里的 Authorization: Bearer xxx,它自动拆出token字符串验证必须用 jwt.decode(),不是 jwt.encode() ------后者只生成,不校验签名和过期时间algorithms 参数必须显式传 ["HS256"],否则默认空列表,解码直接抛 InvalidAlgorithmError密钥建议从环境变量读:os.getenv("JWT_SECRET_KEY"),别写死在代码里JWT Token怎么安全生成(含用户ID和过期时间)生成时漏掉 exp 字段等于发永久通行证,而只用 datetime.utcnow() 不加 timedelta 又会导致 token 一签发就过期。必须传 exp:用 datetime.utcnow() + timedelta(hours=1),别用 datetime.now()(时区错乱风险)payload 至少带 sub(通常放用户ID)和 exp,iat 可选但建议加上用 jwt.encode(payload, key, algorithm="HS256"),key 类型必须是 str 或 bytes,传 None 会静默失败生成后立刻返回 access_token 和 token_type: "bearer",前端才能正确拼接请求头为什么每次请求都报 InvalidSignatureError90% 是密钥不一致:签发用的 key 和验证用的 key 看似一样,实则一个是字符串、一个是 bytes,或者前后有空格、换行符。检查 JWT_SECRET_KEY 环境变量是否被 shell 自动截断(比如值含 $ 被当成变量替换)验证前先 print(repr(key)),确认两边 key 的字节完全一致(注意 、 、空格)如果用 pydantic.BaseSettings 读配置,确保字段类型是 SecretStr 并调用 .get_secret_value()别用 base64.b64encode() 对密钥二次编码------jwt.encode() 内部不处理 base64,会直接拿原始字节算签名如何让登录接口返回Token,其他接口自动校验别在每个路由上重复写 Depends(get_current_user),用 FastAPI 的依赖注入链就行,但要注意依赖的 scope 和异常处理方式。 Trenz AI驱动的社交电商营销平台,专为TikTok Shop设计
相关推荐
io_T_T2 小时前
如何调用google api 进行开发(使用免费版本)二月十六2 小时前
SQL Server 2022 新语法:IS [NOT] DISTINCT FROM 彻底解决 NULL 比较难题~ rainbow~2 小时前
前端转型全栈(四)——常见的错误及解决方案数厘2 小时前
2.1SQL 学习:先懂数据库概念再学 SQLCat_Rocky3 小时前
redis哨兵模式广师大-Wzx3 小时前
一篇文章看懂MySQL数据库(下)hef2884 小时前
golang如何使用range over func_golang range over func迭代器使用方法qq_380619165 小时前
html如何查看windows爱学习的小邓同学5 小时前
MySQL --- MySQL数据库基础